POLITYKA OCHRONY DANYCH OSOBOWYCH
- Niniejszy dokument zatytułowany „Polityka ochrony danych osobowych” (dalej jako Polityka) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w przedsiębiorstwie Karton-Pak Zbigniew Tkaczyk sp.j. z siedzibą w Świeciu (86-100) przy ul Sygietyńskiego 57 NIP: 5592040791, telefon kontaktowy: 52 331 53 66 mail: kontakt@kartonpak-swiecie.pl, zwany dalej: „Administratorem”; (dalej jako Przedsiębiorstwo bądź Karton-Pak sp.j.).
- Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
§1 Informacje ogólne
1. Polityka zawiera: a) opis zasad ochrony danych obowiązujących w Przedsiębiorstwie; b) rodzaje przetwarzanych danych osobowych; c) sposoby zapewnienia bezpieczeństwa danych osobowych; d) odwołania do załączników uszczegóławiających (wzorcowe procedury dotyczące poszczególnych obszarów z zakresu ochrony danych osobowych wymagających doprecyzowania w odrębnych dokumentach). 2. Osobą odpowiedzialną za ochronę danych osobowych w Przedsiębiorstwie, w tym za wdrożenie i utrzymanie niniejszej Polityki, monitorowanie jej przestrzegania i stosowanie jest Mariola Tkaczyk bądź osoba przez nią upoważniona.§2 Definicje
Polityka oznacza niniejszą Politykę ochrony danych osobowych, o ile co innego nie wynika wyraźnie z kontekstu. RODO oznacza rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1). Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjne, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; System tradycyjny – rozumie się przez to zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji i wyposażenia i środków trwałych w celu przetwarzania danych osobowych na papierze; Osoba oznacza osobę, której dane dotyczą, o ile co innego nie wynika wyraźnie z kontekstu. Podmiot przetwarzający oznacza organizację lub osobę, która przetwarza dane w imieniu administratora (tj. np. której Przedsiębiorstwo powierzyło przetwarzanie danych osobowych (np. usługodawca IT, zewnętrzna księgowość). Przedsiębiorstwo oznacza firmę Karton-Pak Zbigniew Tkaczyk sp.j. z siedzibą w Świeciu (86-100) przy ul Sygietyńskiego będącą również Administratorem Danych Osobowych (ADO) dalej Karton-Pak Zbigniew Tkaczyk sp.j.§3 Podstawy prawne przetwarzania danych osobowych w Karton-Pak Zbigniew Tkaczyk sp.j.
- Podstawę prawną zasad określonych w niniejszym dokumencie stanowi Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Karton-Pak Zbigniew Tkaczyk sp.j. jako Administrator Danych Osobowych deklaruje, że przetwarzanie danych osobowych w Spółce jest zgodne z mającymi zastosowanie wymaganiami prawnymi.
- Deklaracja ta opiera się w szczególności na zapewnieniu, że dane osobowe są:
- Każdy pracownik ADO jest zobowiązany do przestrzegania zasad wskazanych powyżej, w tym do zapewnienia ich przestrzegania przez podległych mu pracowników.
- Wypełnienie obowiązku wskazanego w punkcie poprzedzającym podlega okresowej weryfikacji.
§4 Obowiązki osób przetwarzających dane osobowe
- 1. Wszystkie osoby przetwarzające dane osobowe w Karton-Pak Zbigniew Tkaczyk sp.j. są odpowiedzialne za:
§5 Rejestr czynności przetwarzania
- Dla wszystkich zidentyfikowanych kategorii danych osobowych ADO prowadzi Rejestr czynności przetwarzania danych osobowych.
- Rejestr stanowi formę dokumentowania czynności przetwarzania danych, pełni rolę mapy przetwarzania danych i jest jednym z kluczowych elementów umożliwiających realizację fundamentalnej zasady, na której opiera się cały system ochrony danych osobowych, czyli zasady rozliczalności.
- W Rejestrze, dla każdej czynności przetwarzania danych, którą Przedsiębiorstwo uznało za odrębną dla potrzeb Rejestru, Przedsiębiorstwo odnotowuje m.in.: nazwę czynności, cel przetwarzania, opis kategorii osób, opis kategorii danych, podstawę prawną przetwarzania, opis kategorii odbiorców danych.
- Na rejestr czynności przetwarzania danych osobowych składają się co najmniej następujące pola:
- Rejestr czynności przetwarzania danych osobowych może być prowadzony w formie papierowej lub elektronicznej, w tym w systemie informatycznym.
- Rejestr czynności przetwarzania stanowi Załącznik nr 6 do niniejszej Polityki
§6 Obowiązki informacyjne administratora
- Podczas pozyskiwania danych osobowych, Administrator przekazuje osobie, której dane dotyczą informacje, o których mowa w art. 13 RODO, zgodnie z wzorem będącym Załącznikiem nr 1 do niniejszej Polityki.
§7 Zasady przetwarzania danych osobowych
- Ogólne zasady przetwarzania danych osobowych:
- Sposoby pozyskiwania danych osobowych
- Kategorie przetwarzanych osobowych
- Kategorie czynności przetwarzania
§8 Zasady ochrony danych osobowych
- Przedsiębiorstwo stosuje środki bezpieczeństwa ustalone w ramach analiz ryzyka i adekwatności środków bezpieczeństwa oraz ocen skutków dla ochrony danych.
- Zakresy ochrony danych osobowych określone przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych Karton-Pak Zbigniew Tkaczyk sp.j., w których są przetwarzane dane osobowe, a w szczególności do:
- Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, stażyści oraz inne osoby i współpracownicy mające dostęp do informacji podlegających ochronie w Karton-Pak Zbigniew Tkaczyk sp.j.,
- Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie oraz użytkowników
- Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Karton-Pak Zbigniew Tkaczyk sp.j., rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
- Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:
§ 9 WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE ORAZ SPOSOBÓW ICH ZABEZPIECZEŃ
- Obszar przetwarzania danych osobowych obejmuje budynek i pomieszczenia i części pomieszczeń, w których przetwarzane są dane osobowe (miejsca w których wykonuje się operacje na danych osobowych) oraz miejsca gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające elektroniczne nośniki informacji, pomieszczenia, w których składowane są uszkodzone nośniki danych).
- Lokalizacje przetwarzania danych osobowych przez Administratora Danych Osobowych.
- każde z pomieszczeń zamykane jest na klucz,
- pomieszczenie biurowe zabezpieczone przed dostępem z zewnątrz kratami,
- wejście do pomieszczenia biurowego, zabezpieczone jest drzwiami zamykanymi na klucz i poprzedzone poczekalnią (miejsce przyjmowania klientów);
- klucze do pomieszczeń mają tylko osoby upoważnione przez ADO,
- osoby nieupoważnione zawsze przebywają pod nadzorem pracownika ADO bądź upoważnionego pracownika.
- Przebywanie osób nieuprawnionych do dostępu do danych osobowych w pomieszczeniach biurowych o których mowa w ust. 2 niniejszego paragrafu, jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych.
- Osoby upoważnione do przetwarzania danych osobowych zobowiązane są do przestrzegania zasad dotyczących wprowadzania osób trzecich do obszaru przetwarzania danych osobowych. Ruch osób z zewnątrz w przedmiotowym obszarze powinien odbywać się pod kontrolą osób upoważnionych.
- ADO może zezwolić na przebywanie w pomieszczeniach, w których mowa w ust. 2, osobom sprzątającym te pomieszczenia poza godzinami pracy podmiotu bez konieczności obecności osobowy dopuszczonej do przetwarzania danych. Osoby sprzątające podpisują oświadczenie o zachowaniu poufności.
- Budynki lub pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamknięte podczas nieobecności w nich osób upoważnionych do przetwarzania danych osobowych, w sposób uniemożliwiający dostęp do nich osób nieupoważnionych.
§ 10
Środki techniczne i organizacyjne
- W celu zapewnienia ochrony danych osobowych przetwarzanych w Karton-Pak Zbigniew Tkaczyk sp.j. stosuje się następujące zabezpieczenia organizacyjne i techniczne:
- o) dokonuje się regularnych audytów i testów skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych,
- § 12
Kontrola
Przedsiębiorstwo dokonuje przeglądu zasad przetwarzania danych, środków ich zabezpieczenia, ilości i zakresu przetwarzania danych w celu ich uaktualniania i dostosowywania do obowiązujących przepisów. Raz w roku, do końca marca roku kolejnego Przedsiębiorstwo dokonuje kontroli, z której spisywany jest Protokół Kontrolny, stanowiący Załącznik nr 2 do niniejszej Polityki.- § 13
Powierzanie przetwarzania danych
- Przedsiębiorstwo zawiera odpowiednio dostosowane do wymogów prawnych umowy powierzenia przetwarzania danych w ten sposób, aby podmioty przetwarzające te dane dawali wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych dla zapewnienia bezpieczeństwa, realizacji praw jednostki i innych obowiązków ochrony danych spoczywających na Przedsiębiorstwie, zgodnie z wzorem stanowiącym Załącznik nr 4 do niniejszej Polityki.
- Powierzenie przetwarzania danych osobowych przez Spółkę podmiotom zewnętrznym może dokonać Administrator Danych lub pracownik, posiadający stosowne upoważnienia do zawierania umów w imieniu Administratora Danych. Powierzenie przetwarzania danych osobowych następuje wyłącznie w drodze pisemnej umowy powierzenia przetwarzania danych osobowych, umowy wzajemnego powierzenia przetwarzania danych osobowych lub klauzuli do umowy.
- Do powierzenia przetwarzania danych osobowych może dojść w każdej umowie bez względu na jej przedmiot (np. umowy serwisowe, remontowe, inwestycyjne itp.)
- Przy powierzeniu przetwarzania danych osobowych ADO jest zobowiązany do korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia oraz chroniło prawa osób, których dane dotyczą.
- Podmiot zewnętrzny, któremu powierzono przetwarzanie danych, nie może powierzyć do dalszego przetwarzania powierzonych mu danych bez uzyskania uprzedniej, wyraźnej zgody ADO.
- Podmiot zewnętrzny, któremu powierzono przetwarzanie danych, zobowiązany jest przetwarzać powierzone mu dane wyłącznie w celach, które zostały wskazane w zawartej z nim umowie.
- Umowa, która zawiera zapisy o powierzeniu przetwarzania danych osobowych powinna w szczególności zawierać elementy dotyczące :
- § 14
Privacy by design
Procedury uruchamiania nowych projektów i inwestycji w Przedsiębiorstwie uwzględniają konieczność oceny wpływu zmiany na ochronę danych, zapewnienie prywatności (a w tym zgodności celów przetwarzania, bezpieczeństwa danych i minimalizacji) już w fazie projektowania zmiany, inwestycji czy na początku nowego projektu. W tym celu zasady prowadzenia projektów i inwestycji przez Przedsiębiorstwo odwołują się do zasad bezpieczeństwa danych osobowych i minimalizacji, wymagając oceny wpływu na prywatność i ochronę danych, uwzględnienia i zaprojektowana bezpieczeństwa i minimalizacji przetwarzania danych od początku projektu lub inwestycji.- § 15
Dostęp do przetwarzanych danych
Przedsiębiorstwo stosuje ograniczenia dostępu do danych osobowych: prawne (zobowiązania do poufności, zakresy upoważnień- załącznik nr 5 do niniejszej Polityki), fizyczne (strefy dostępu, zamykanie pomieszczeń) i logiczne (ograniczenia uprawnień do systemów przetwarzających dane osobowe i zasobów sieciowych, w których rezydują dane osobowe). Przedsiębiorstwo stosuje kontrolę dostępu fizycznego. Przedsiębiorstwo dokonuje aktualizacji uprawnień dostępowych przy zmianach w składzie personelu i zmianach ról osób, oraz zmianach podmiotów przetwarzających.- § 16
Dostęp do przetwarzanych danych
- Osobami odpowiedzialnymi za bezpieczeństwo danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń jest ADO.
- Każdy z pracowników Przedsiębiorstwa, w przypadku zidentyfikowania zdarzenia mogącego stanowić naruszenie ochrony danych osobowych, jest zobowiązany do niezwłocznego, to jest nie później niż w terminie 12 h od momentu jego stwierdzenia, kontaktu z ADO
- § 17
Gromadzenie danych osobowych.
- Dane osobowe przetwarzane w Karton-Pak Zbigniew Tkaczyk sp.j. mogą być uzyskiwane bezpośrednio od osób, których te dane dotyczą, lub z innych źródeł, w granicach dozwolonych przepisami prawa.
- Zebrane dane osobowe mogą być wykorzystane wyłącznie do celów, dla jakich były, są lub będą zbierane i przetwarzane. Po wykorzystaniu dane osobowe powinny być przechowywane w formie uniemożliwiającej identyfikację osób, których dotyczą.
- W przypadku konieczności udostępnienia dokumentów i danych, wśród których znajdują się dane osobowe niemające bezpośredniego związku z celem udostępnienia, należy bezwzględnie dokonać anonimizacji tych danych osobowych.
- W przypadku gdy dane osobowe są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, ADO jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania lub usunięcia.
- ADO udostępnia przetwarzane dane osobowe tylko osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa.
- Dane osobowe mogą być udostępniane w następujących przypadkach:
1) na podstawie wniosku od podmiotu uprawnionego do otrzymywania danych osobowych na podstawie przepisów;
2) na podstawie umowy z innym podmiotem, w ramach której istnieje konieczność udostępnienia danych;
3)na podstawie wniosku osoby, której dane dotyczą.
7. Udostępniając dane osobowe, należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
8. Do przetwarzania danych mogą być dopuszczeni pracownicy i współpracownicy Karton-Pak Zbigniew Tkaczyk sp.j. oraz pracownicy i współpracownicy zewnętrzni, posiadający upoważnienie nadane przez ADO.
9. ADO prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych.
10. ADO zobowiązany jest do zbierania, ewidencjonowania i przechowywania:
1) oświadczeń osób przetwarzających dane osobowe o zachowaniu w tajemnicy danych, z którymi mają styczność, oraz środkach bezpieczeństwa stosowanych przy przetwarzaniu danych osobowych;
2) oświadczeń osób zatrudnianych na podstawie umowy zlecenia, umowy o dzieło lub innej umowy cywilnej o zachowaniu tajemnicy.
- § 18
Sposób obsługi praw jednostki (praw osób, których dane dotyczą)
- Przedsiębiorstwo dba o czytelność i styl przekazywanych informacji i komunikacji z osobami, których dane przetwarza.
- Przedsiębiorstwo ułatwia osobom korzystanie z ich praw poprzez różne działania, w tym: zamieszczenie na stronie internetowej Karton-Pak Zbigniew Tkaczyk sp.j. informacji l (linków) o prawach osób, sposobie skorzystania z nich.
- Realizując prawa osób, których dane dotyczą, Przedsiębiorstwo wprowadza proceduralne gwarancje ochrony praw i wolności osób trzecich. W szczególności w przypadku powzięcia wiarygodnej wiadomości o tym, że wykonanie żądania osoby o wydanie kopii danych lub prawa do przeniesienia danych może niekorzystnie wpłynąć na prawa i wolności innych osób (np. prawa związane z ochroną danych innych osób, prawa własności intelektualnej, tajemnicę handlową, dobra osobiste itp.), Przedsiębiorstwo może zwrócić się do osoby w celu wyjaśnienia wątpliwości lub podjąć inne prawem dozwolone kroki, łącznie z odmową zadośćuczynienia żądaniu.
- § 19
Retencja Danych Osobowych
- 1. Dane osobowe przetwarzane w Karton-Pak Zbigniew Tkaczyk sp.j. przechowywane są przez okres nie dłuższy niż jest to niezbędne. Okres przechowywania danych jest dostosowywany do celu, w którym zostały zebrane.
- 2. Okres retencji może:
- 2. Wskazany przez komórkę organizacyjną okres retencji jest weryfikowany i akceptowany przez ADO.
- 3. Okres retencji danych osobowych odnotowany jest w Rejestrze czynności przetwarzania w stosunku do określonej kategorii danych osobowych i celu, w jakim zostały one zebrane.
- 4. W przypadku dokumentacji w formie papierowej, za zniszczenie danych po ustaniu okresu retencji odpowiedzialny jest pracownik przetwarzający te dane w okresie bezpośrednio poprzedzającym upływ okresu retencji danych.
- 5. Dane powinny zostać zniszczone w sposób uniemożliwiający ich w Sposób uniemożliwiający ich odtworzenie.
- 6. Proces niszczenia nośników zawierających dane osobowe może zostać zlecony na zewnątrz organizacji.
- 7. W przypadku danych osobowych przetwarzanych w systemach informatycznych, każdy pracownik przetwarzający te dane jest odpowiedzialny, za usunięcie tych danych lub zgłoszenie potrzeby ich usunięcia do ADO
- § 20
Zgoda na przetwarzanie Danych Osobowych
- W każdej sytuacji, w której nie zidentyfikowano podstawy prawnej innej niż zgoda osoby, której dane dotyczą, niezbędne jest uzyskanie takiej zgody.
- Forma wyrażenia zgody na przetwarzanie danych osobowych jest dowolna (np. treść wiadomości e-mail, wydruk, checkbox w systemie informatycznym). Forma zgody powinna gwarantować możliwość potwierdzenia faktu jej uzyskania.
- Wyrażenie zgody na przetwarzanie danych osobowych nie może stanowić podstawy do odmowy wykonania umowy / świadczenia usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do ich wykonania.
- Za uzyskanie zgody na przetwarzanie danych osobowych odpowiedzialny jest pracownik pozyskujący dane osobowe od osoby, której dane dotyczą.
- Zgoda na przetwarzanie danych osobowych powinna zawierać co najmniej:
- Nie dopuszcza się sytuacji, w których łączy się zgody na przetwarzanie danych osobowych zbieranych dla spełnienia różnych celów. W przypadku zbierania danych osobowych dla kilku celów jednocześnie, należy uzyskać indywidualną zgodę dla każdego z celów.
- W przypadku, gdy zgoda dotyczy danych wrażliwych, konieczne jest zebranie jej w formie pisemnego oświadczenia od osoby, której dane dotyczą.
- Osoba, której dane dotyczą ma prawo w dowolnym momencie wycofać zgodę.
- W przypadku uzyskania wniosku o wycofanie zgody na przetwarzanie danych osobowych, każdy pracownik jest zobowiązany do powiadomienia o tym fakcie ADO, który podejmuje właściwe kroki.
- Wzór klauzul informacyjnych
- Protokół Kontroli
- Wzór zgody na przetwarzanie danych
- Wzór umowy powierzenia przetwarzania danych
- Wzór upoważnienia do przetwarzania danych wraz z ewidencją upoważnień
- Wzór rejestru kategorii czynności danych i kategorii przetwarzania
- Procedura zgłaszania naruszeń
- Polityka czystego biurka i podstawowe zasady ochrony danych osobowych
- Procedura dot. usunięcia danych osobowych